互聯(lián)網(wǎng)發(fā)展20多年,大家都習(xí)慣了在瀏覽器地址里輸入HTTP格式的網(wǎng)址。但前兩年,HTTPS逐漸取代HTTP,成為傳輸協(xié)議界的“新寵”。
早在2014年,由網(wǎng)際網(wǎng)路安全研究組織Internet Security Research Group(ISRG)負(fù)責(zé)營運(yùn)的 “Let's Encrypt”項目就成立了,意在推動全球網(wǎng)站的全面HTTPS化;今年6月,蘋果也要求所有IOS Apps在2016年底全部使用HTTPS;11月,Google還宣布,將在明年1月開始,對任何沒有妥善加密的網(wǎng)站,豎起“不安全”的小紅旗。
去年,淘寶、天貓也啟動了規(guī)模巨大的數(shù)據(jù)“遷徙”,目標(biāo)就是將百萬計的頁面從HTTP切換到HTTPS,實現(xiàn)互聯(lián)網(wǎng)加密、可信訪問。
更安全、更可信,是HTTP后面這個“S”最大的意義。HTTPS在HTTP的基礎(chǔ)上加入了SSL/TLS協(xié)議,依靠SSL證書來驗證服務(wù)器的身份,并為客戶端和服務(wù)器端之間建立“SSL加密通道”,確保用戶數(shù)據(jù)在傳輸過程中處于加密狀態(tài),同時防止服務(wù)器被釣魚網(wǎng)站假冒。
HTTP為什么過時了?
很多網(wǎng)民可能并不明白,為什么自己的訪問行為和隱私數(shù)據(jù)會被人知道,為什么域名沒輸錯,結(jié)果卻跑到了一個釣魚網(wǎng)站上?互聯(lián)網(wǎng)世界暗流涌動,數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持、釣魚攻擊等安全事件頻發(fā)。
而未來的互聯(lián)網(wǎng)網(wǎng)絡(luò)鏈路日趨復(fù)雜,加重了安全事件發(fā)生。可能在星巴克被隔壁桌坐著的黑客嗅探走了口令,或者被黑了家庭路由器任由電子郵件被竊聽,又或者被互聯(lián)網(wǎng)服務(wù)提供商秘密注入了廣告。這一切都是由互聯(lián)網(wǎng)開始之初面向自由互聯(lián)開放的HTTP傳輸協(xié)議導(dǎo)致的。
·HTTP數(shù)據(jù)在網(wǎng)絡(luò)中裸奔
HTTP明文協(xié)議的缺陷,是導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持、釣魚攻擊等安全問題的重要原因。HTTP協(xié)議無法加密數(shù)據(jù),所有通信數(shù)據(jù)都在網(wǎng)絡(luò)中明文“裸奔”。通過網(wǎng)絡(luò)的嗅探設(shè)備及一些技術(shù)手段,就可還原HTTP報文內(nèi)容。
·網(wǎng)頁篡改及劫持無處不在
篡改網(wǎng)頁推送廣告可以謀取商業(yè)利益,而竊取用戶信息可用于精準(zhǔn)推廣甚至電信欺詐,以流量劫持、數(shù)據(jù)販賣為生的灰色產(chǎn)業(yè)鏈成熟完善。即使是技術(shù)強(qiáng)悍的知名互聯(lián)網(wǎng)企業(yè),在每天數(shù)十億次的數(shù)據(jù)請求中,都不可避免地會有小部分流量遭到劫持或篡改,更不要提其它的小微網(wǎng)站了。
·智能手機(jī)普及,WIFI接入常態(tài)化
WIFI熱點的普及和移動網(wǎng)絡(luò)的加入,放大了數(shù)據(jù)被劫持、篡改的風(fēng)險。開篇所說的星巴克事件、家庭路由器事件就是一個很有意思的例子。
·自由的網(wǎng)絡(luò)無法驗證網(wǎng)站身份
HTTP協(xié)議無法驗證通信方身份,任何人都可以偽造虛假服務(wù)器欺騙用戶,實現(xiàn)“釣魚欺詐”,用戶根本無法察覺。
HTTPS,強(qiáng)在哪里?
我們可以通過HTTPS化極大的降低上述安全風(fēng)險。
從上圖看,加密從客戶端出來就已經(jīng)是密文數(shù)據(jù)了,那么你的用戶在任何網(wǎng)絡(luò)鏈路上接入,即使被監(jiān)聽,黑客截獲的數(shù)據(jù)都是密文數(shù)據(jù),無法在現(xiàn)有條件下還原出原始數(shù)據(jù)信息。
各類證書部署后瀏覽器呈現(xiàn)效果,
免費SSL數(shù)字證書(IE上,Chrome下)
OV SSL數(shù)字證書(IE上,Chrome下)
EV SSL數(shù)字證書(IE上,Chrome下)
全世界都對HTTPS拋出了橄欖枝
·瀏覽器們對HTTP頁面亮出紅牌
谷歌、火狐等主流瀏覽器將對HTTP頁面提出警告。火狐瀏覽器將對“使用非HTTPS提交密碼”的頁面進(jìn)行警告,給出一個紅色的阻止圖標(biāo);Google Chrome瀏覽器則計劃將所有HTTP網(wǎng)站用“Not secure”顯注標(biāo)識。
圖片來源:Googleblog
對于一般用戶來講,如果是這樣標(biāo)識的網(wǎng)站,可能會直接放棄訪問。
·蘋果iOS強(qiáng)制開啟ATS標(biāo)準(zhǔn)
蘋果宣布2017年1月1日起,所有提交到App Store 的App必須強(qiáng)制開啟ATS安全標(biāo)準(zhǔn)(App Transport Security),所有連接必須使用HTTPS加密。包括Android也提出了對HTTPS的要求。
·HTTP/2協(xié)議只支持HTTPS
Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密連接,才能使用HTTP/2協(xié)議。
·HTTPS提升搜索排名
谷歌早在2014年就宣布,將把HTTPS作為影響搜索排名的重要因素,并優(yōu)先索引HTTPS網(wǎng)頁。百度也公告表明,開放收錄HTTPS站點,同一個域名的http版和https版為一個站點,優(yōu)先收錄https版。
·英美強(qiáng)制要求所有政府網(wǎng)站啟用HTTPS
美國政府要求所有政府網(wǎng)站都必須在2016年12月31日之前完成全站HTTPS化,截至2016年7月15日,已經(jīng)有50%政府網(wǎng)站實現(xiàn)全站HTTPS。英國政府要求所有政府網(wǎng)站于2016年10月1日起強(qiáng)制啟用全站HTTPS,還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預(yù)加載列表,只有通過HTTPS才能訪問政府服務(wù)網(wǎng)站。
·超級權(quán)限應(yīng)用禁止使用HTTP連接
采用不安全連接訪問瀏覽器特定功能,將被谷歌Chrome瀏覽器禁止訪問,例如地理位置應(yīng)用、應(yīng)用程序緩存、獲取用戶媒體等。從谷歌Chrome 50版本開始,地理定位API沒有使用HTTPS的web應(yīng)用,將無法正常使用。
只有部分網(wǎng)頁可不夠,全站HTTPS才是最佳方案
很多網(wǎng)站所有者認(rèn)為,只有登錄頁面和交易頁面才需要HTTPS保護(hù),而事實上,全站HTTPS化才是確保所有用戶數(shù)據(jù)安全可靠加密傳輸?shù)淖罴逊桨浮>植坎渴餒TTPS,在HTTP跳轉(zhuǎn)或重定向到HTTPS的過程中,仍然存在受到劫持的風(fēng)險。
情況一:從HTTP頁面跳轉(zhuǎn)訪問HTTPS頁面
事實上,在 PC 端上網(wǎng)很少有直接進(jìn)入 HTTPS 網(wǎng)站的。例如:支付寶網(wǎng)站大多是從淘寶跳轉(zhuǎn)過來,如果淘寶使用不安全的 HTTP 協(xié)議,通過在淘寶網(wǎng)的頁面里注入 XSS,屏蔽跳轉(zhuǎn)到 HTTPS 的頁面訪問,那么用戶也就永遠(yuǎn)無法進(jìn)入安全站點了。
圖片來源:EtherDream《安全科普:流量劫持能有多大危害?》
盡管地址欄里沒有出現(xiàn) HTTPS 的字樣,但域名看起來也是正確的,大多用戶都會認(rèn)為不是釣魚網(wǎng)站,因此也就忽視了。也就是說,只要入口頁是不安全的,那么之后的頁面再安全也無濟(jì)于事。
情況二:HTTP頁面重定向到HTTPS頁面
有一些用戶通過輸入網(wǎng)址訪問網(wǎng)站,他們輸入了 www.alipaly.com 就敲回車進(jìn)入了。然而,瀏覽器并不知道這是一個 HTTPS 的站點,于是使用默認(rèn)的 HTTP 去訪問。不過這個 HTTP 版的支付寶的確也存在,其唯一功能就是重定向到自己 HTTPS 站點上。劫持流量的中間人一旦發(fā)現(xiàn)有重定向到 HTTPS 站點的,于是攔下重定向的命令,自己去獲取重定向后的站點內(nèi)容,然后再回復(fù)給用戶。于是,用戶始終都是在 HTTP 站點上訪問,自然就可以無限劫持了。
圖片來源:EtherDream《安全科普:流量劫持能有多大危害?》
而全站HTTPS化可以確保用戶在訪問網(wǎng)站時全程HTTPS加密,不給中間人跳轉(zhuǎn)劫持的機(jī)會。國外各大知名網(wǎng)站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通過Always on SSL(全站https)技術(shù)措施來保證用戶機(jī)密信息和交易安全,防止會話劫持和中間人攻擊。
圖片來源:Symantec《Protect the Entire Online User Experience: with Always On SSL》
那么問題來了,為什么HTTPS百般好,全世界卻還有過一半的網(wǎng)站,還在使用HTTP呢?
首先,很多人還是會覺得HTTPS實施有門檻,這個門檻在于需要權(quán)威CA頒發(fā)的SSL數(shù)字證書。從證書的選擇、購買到部署,傳統(tǒng)的模式下都會比較耗時耗力。目前,主流CSP都集成了多家證書頒發(fā)機(jī)構(gòu)的SSL證書,部署過程也相對更容易一些。因“麻煩”和“門檻”而不HTTPS化的現(xiàn)象,預(yù)測也將有所緩解。
第二是性能。HTTPS普遍認(rèn)為性能消耗要大于HTTP。但事實并非如此,用戶可以通過性能優(yōu)化、把證書部署在SLB或CDN,來解決此問題。舉個實際的例子,“雙十一”期間,全站HTTPS的淘寶、天貓依然保證了網(wǎng)站和移動端的訪問、瀏覽、交易等操作的順暢、平滑。通過測試發(fā)現(xiàn),經(jīng)過優(yōu)化后的許多頁面性能與HTTP持平甚至還有小幅提升,因此HTTPS經(jīng)過優(yōu)化之后其實并不慢。
最后是安全意識。相比國內(nèi),國外互聯(lián)網(wǎng)行業(yè)的安全意識和技術(shù)應(yīng)用相對成熟,HTTPS部署趨勢是由社會、企業(yè)、政府共同去推動的。不過,隨著國內(nèi)等保、網(wǎng)絡(luò)安全、P2P監(jiān)管措施的普及,HTTPS也有望造福更多網(wǎng)民。
京公網(wǎng)安備 11010502049343號